基于ARP的网络监控系统设计与研究开题报告

1、北京工业大学研究生开题报告学位级别：博士 硕士 工程硕士学 号： 研究生姓名： 指导教师姓名： 专业名称： 所在学院： 开题报告时间： 北京工业大学研究生部学位办制表注意：本表基本情况及报告正文由研究生本人填写，硕士不少于3000字，博士不少于5000字。格式要求：正文文字部分为5号宋体、单倍行间距排版，A4纸双面打印装订。开题报告评价部分分别由指导教师及专家组书写。开题报告会结束后一周之内将报告原件交院（所）研究生教学秘书处。一、基本情况研究生姓名学 号院、系指导教师姓名及职称学科、专业入学年月1、 研究方向、论文选题范围：本课题研究方向为网络安全系统的设计，选题范围定在在ARP协议欺骗环境

2、下如何设计局域网的网络监控系统。2、 拟定论文题目：基于ARP的网络监控系统设计与研究3、 论文科研课题属于哪一级科研项目，经费来源及金额（课题来源选项分为国家计委、科委项目、国家经贸委项目、国家自然科学基金项目、国务院其他部门项目、主管部门（部委级）项目、省、市、自治区项目、国际合作项目、学校级项目、自选项目、其它）：自选项目4、 论文类型（基础研究、应用研究、开发研究、其它）应用研究摘要选题研究内容和意义简介（限400字）：进入新世纪以来,计算机网络在世界范围内迅速普及，特别是局域网络目前也是发展地如火如荼。在这个过程中，网络基础协议的安全就越来越成为人们关注的问题。近年来各种各样的ARP

3、欺骗攻击层出不穷，给互联网络造成了不同程度的损失，而对局域网来说，ARP欺骗攻击的存在，将对网内的保密信息安全造成极大的威胁。有关ARP欺骗攻击的问题，国内外很多学者都做了这方面的研究，应用技术也相对成熟，但整体而言，网络中针对ARP欺骗攻击还处于被动防御阶段，存在着一定的局限性。鉴于此，本文首先针对ARP运行机制，包括ARP缓存、帧格式、报文格式等进行了细致的分析，并提出了适合局域网的综合防御措施；最后从软件工程角度出发，以提高网络安全性为目标，设计并实现一套基于ARP欺骗原理的网络监控系统。该系统在网络监听技术、网络定位技术、数据分析技术的基础上，实现了对网络中ARP欺骗攻击主动进行检测，

4、自动进行定位并实现及时报警反馈的功能。本课题的研究对于提升局域网的ARP欺骗攻击防御水平具有一定的指导意义。关键词（用分号隔开、最多5个）ARP欺骗；网络监控；主动防御报 告 正 文（一）选题依据与研究内容1、选题依据（研究意义、国内外研究现状等）（1）选题依据及研究意义从上世纪90年代后期开始，互联网应用席卷国内，之后开始了各类计算机局域网的建设，局域网在带给人类开放性、共享性与先进性的同时，也带了许多不安全因素。如今，我国很多学校的教学、企业的办公管理等日常业务都对计算机网络的依赖程度越来越深，由此所面临的计算机网络安全问题就更加复杂，一些基于计算机系统或协议漏洞的攻击手段不断浮出水面，给

5、局域网的正常、安全使用带来了很大的隐患。自2006年以来，新一轮的ARP（全称为Address Resolution Protocol）欺骗袭击了全国很多局域网络1，包括国内许多企业网在内，攻击所到之处，局域网络故障频繁，大量的网络客户端表现为网络突然断开或网速莫名变慢，时断时续，持续时间不等等症状1，轻则影响了正常的工作秩序，重则导致整个网络陷入瘫痪，给局域网的日常管理带来巨大的损失。这种基于TCP/IP协议的攻击方式，利用网络中ARP协议存在的漏洞，频繁对网络中的路由器和客户端进行欺骗，导致网络请求数据包无法被发送到正确的主机上，从而影响网络的正常通信。APR欺骗攻击目前已经成为影响网络稳

6、定运行的主要风险之一1，因而，如何采取行之有效的措施防范ARP欺骗攻击，成为了局域网安全工作的重中之重。本课题正是基于这一背景，对ARP欺骗原理进行了深入分析，并在当前ARP欺骗监控技术的基础上，设计实现一套ARP欺骗的自动监控系统。本课题的研究具有以下几方面重要的意义：一是本课题通过了解并认识ARP协议的运行机理及设计缺陷，研究并揭示ARP欺骗攻击的原理，并通过创新使用追踪定位及网络诱骗等技术，这对填补国内在ARP欺骗防范措施的研究及应用方面的空白具有一定的理论意义。二是通过本文重点研究设计并实现的基于ARP协议和ARP欺骗原理的网络监控系统，这对于提升各类企事业单位网管人员更为有效地监控及

7、防范针对网络的ARP欺骗攻击，实时保障局域网安全运行具有重要的现实意义；同时对于在构建局域网安全防护体系过程中具有重要的参考价值。三是本课题所使用的数据包捕获技术、访问控制技术在ARP监控系统中的应用，对于国内外其它同类软件或系统的开发及实现提供新的研究思路，从而起到一定的借鉴意义。（2）国内外研究现状针对于ARP欺骗攻击的研究一直是众多研究人员的热门课题，随着ARP欺骗的方式由传统的针对局域网用户的监听攻击逐渐发展到针对互联网用户客户端甚至Web服务器端的网页劫持攻击2，各种防范措施层出不穷，众多的研究人员对如何防止ARP攻击进行了多方面的研究，并总结出以下几种常用的防范方法：一是利用ARP

8、 echo传送正确的ARP讯息：ARP echo是最早开发出来的ARP攻击解决方案, 通过频繁地提醒正确的ARP对照表，来达到防制的效果3。但随着ARP攻击的发展，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是目前很多用户仍以这个方法来进行防制。二是利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。目前，绑定方式已经由单纯的MAC地址绑定发展为MAC-IP双向绑定，可以说双向绑定是个硬工夫，可以较全面性地解决现在及未来ARP攻击的问题。但实际上由于各层协议及网卡驱动等实现技术，绑定方式也不是万无一失的，原因之一就是MAC地址也可以被人为

9、的使用相关工具进行修改，如此便失去了绑定的原有用意。三是舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送4。此类方法由于变动较大，只能适用于技术能力较佳的应用环境，如果局域网内的用户网络知识较差，则会一定程度上的影响上网环境，所以普及性不高。四是利用专用工具：目前ARP欺骗越来越受到关注，国内外各大反病毒软件公司均对其开发了针对性较强的专查专杀工具，或是将反ARP欺骗功能作为单独模块加入到最新的反病毒软件中。这对于普通用户来说，是个很省事的方法，稍加设定即可高枕无忧。但通过分析相关产品，如瑞星防火墙中的ARP欺骗防御模块，其运行机理仍旧是M

10、AC地址与IP地址的绑定，只不过是利用更人性化的设置界面而已，所以仍面临着绑定方式自身缺陷的不稳定因素。2、选题的研究内容、研究目标以及拟解决的关键问题等(1)研究内容本文主要针对局域网络中ARP欺骗进行深入分析，并提出一套网络监控系统的设计与实现方法，研究的主要内容分为如下五个部分：第一部分：ARP相关理论概述。重点阐述了网络基础协议、ARP协议报文、ARP工作机制及原理以及ARP攻击的分类。第二部分：当前网络中防范ARP欺骗攻击的措施。深入分析了目前防ARP欺骗措施，并进行分类、对比，系统地分析各自的优缺点。 第三部分：基于ARP协议和ARP欺骗原理的网络监控系统设计。主要分析描述了基于S

11、NIFFER的网络监听技术和基于WINPCAP的数据包捕获技术的现状，提出基于ARP协议的网络监听系统模型。该系统由监听模块、数据包捕获模块、数据分析模块、自动定位模块等组成，并对系统进行了可行性分析及需求分析，在此基础上对系统进行了总体分析。第四部分：ARP监控系统的实现及测试。从软件工程的基础理论出发，阐述了该系统功能实现的主要方法，介绍系统界面模块和代码编写，并对系统的运行效果进行测试，同时与相关成型产品的使用效果做出横向对比，最后得出详细结论。第五部分：结论与展望。对全文进行了总结性归纳，指出文章解决的问题及不足之处，并对ARP欺骗防范的形势作出展望。(2)研究目标本课题的研究将达到以

12、下主要目的：一是能够正确且深入地认识基于TCP/IP协议簇的ARP协议的运行机理及设计缺陷，进而研究并揭示ARP欺骗攻击的原理，分析ARP欺骗现象的发展趋势，使我们能够更加明确ARP欺骗所带来的危害；二是能够针对ARP欺骗攻击的特点，综合研究当前国内外所使用的各种防范措施，并进行对比分析，总结并提出防御ARP欺骗攻击的最优方案；三是重点研究包括网络监听、数据包捕获、自动定位和访问控制在内的相关技术，设计并实现基于ARP协议和ARP欺骗原理的网络监控系统，该系统与当前的网管系统相比，将更具有针对性，能够同时实现单机版与网络版针对ARP攻击的自动定位功能，并能分别就ARP攻击的所有方式，包括ARP

13、溢出攻击、虚拟主机攻击、IP地址冲突攻击、网关ARP欺骗攻击、主机ARP欺骗攻击等作出识别与防御，这是现存网管系统不具备的功能。(3)拟解决的关键问题关键问题包括以下三点：一是通过ARP的欺骗原理，实现对局域网内ARP攻击的主动监控与防御，最大限度的解放网络管理员的双手；二是利用数据包捕获技术实现对局域网的自动监听；三是利用网络诱骗等技术实现网络监控系统的攻击源自动定位。3、拟采取的研究方案（研究思路、技术路线或研究方法）及可行性分析(1)研究方法为完成本课题，采取了以下多种研究方法：（1）文献研究法：通过对国内外有关ARP欺骗原理与防范措施的大量文献进行研究，加深对ARP基本原理及有关理论的

14、认知，奠定了课题进一步研究和分析的理论基础。（2）归纳总结法：通过使用归纳总结的方法，对当前常用的针对ARP欺骗攻击的防范技术进行研究，总结出这些技术的共同点，在此基础上设计出全新的ARP监控系统（3）理论联系实际法：本文以局域网络为基本研究对象，在对局域网络特点进行实际考察的基础上，运用嗅探技术和捕获理论，对网络防范ARP欺骗攻击的具体方法做了深入的研究。（4）实例分析法：在全文针对ARP欺骗原理及防范的分析过程中，大量使用了一些实例进行说明，使相关研究人员或网管人员能够便于参考理解。(2)可行性分析本课题主要采取理论分析与实践分析相结合的方法，即阅读思考与调查、编程测试的结合。在理论分析方

15、面，笔者已具有网络管理、网络技术、编程等有关基础，掌握了一定量的相关资料，对部分章节内容有过较长时间的思考，初步具备相关理论条件。在实践分析方面，由于实践是本课题的源头，也是本课题的落脚点。目前已经通过到各局域网络中进行调研，掌握一定量的网络建设资料，对局域网可能存在的攻击有了一定程度的了解。此外，利用本人工作环境的优势，能够方便地进行本课题的各项设计、测试实验工作，可极大提高本课题研究的进度。综上所述，本课题的研究具有较高的可行性。4、论文研究进度计划（含研究进度计划安排、研究经费预算及解决办法）、预期研究结果2012年3月：确定课题研究方向，提出开题报告，初步完成课题研究思路；2012年3

16、月中旬2012年4月初：继续搜集各类相关资料2012年4月上旬2012年4月中旬：分析总结各类防范方案；2012年4月下旬2012年5月上旬：提出网络监控系统概念，完成系统需求分析；2012年5月中旬2012年6月上旬：编码和测试；程序的补充与完善，撰写毕业论文；2012年6月中旬：论文送审，定稿及答辩5、论文研究工作基础及条件保障（1）工作基础（含入学以来取得研究成果、参与或承担的科研项目情况等）本课题需要丰富的网络理论知识及较强的实践动手能力，并且要有一定的编程理论和经验，思维能力要求比较强，需要有系统性的思想和较强的分析归纳能力。当前，本人对网络安全方面，特别是ARP方面的研究资料收集较

17、多，并进行了大量的深入研究。（2）工作条件（设备条件、实验场地条件、可能遇到的困难及应对措施）条件：本人具有一定的网络管理知识和经验，并且单位局域网中能够为本课题提供较好的研究环境；导师所在的网络安全实验室能够为本课题提供强有力的技术支持；系图书馆、学院图书馆和互联网上可以查到相关刊物、文章及最新动态；所搜集的资料已累计不少，有条件开展本课题的研究。困难：资料还不够充分：首先是目前ARP欺骗的手段已成多样性的发展趋势，但相关防制信息却呈现多而不精的现象，所搜集到的资料多以论文、文章的形式出现，缺乏系统性的针对性的著作或研究报告，在研究过程中还需要投入一部分资金进行资料的选择及采购。其次，编程实

18、践经验欠缺，虽自学过VFP、VB等程序设计语言，但由于实际工作环境并不需要大量的编程工作，所以相对编程经验较为匮乏，这会给编写监控代码带来一定的困难，需要在设计的过程中进行进一步的强化学习。（6）参考文献（参考文献目录用标准规范格式，在正文引用处须标注）1袁津生，齐建东，曹佳. 计算机网络安全基础（第3版）.北京：人民邮电出版社，2010.32高敏芬，贾春福. 信息安全实验教程. 天津：南开大学出版社，2007.53卢昱、王宇. 计算机网络安全与控制技术. 北京：科学出版社，2005.64谢希仁. TCP/IP协议族. 北京：清华大学出版社，2012.45朱雁辉. Windows网络防火墙与封

19、包截获技术. 北京：电子工业出版社，20026Andrew S. Tanenbaum. 计算机网络（第4版）. 北京：清华大学出版社，2004 .87W.Richard Stevens. TCP/IP详解 卷1：协议. 北京：机械工业出版社，2000.48韩东海，王超，李群. 入侵检测系统及实例剖析. 北京：清华大学出版社，2002.59张宏莉. 网络攻击与防御技术. 北京：人民邮电出版社，2007.410秦志光. 计算机病毒原理与防范. 北京：人民邮电出版社，2007.411曹元大. 入侵检测技术. 北京：人民邮电出版社，2007.512陈钟. 安全协议及其分析. 北京：人民邮电出版社，20

20、07.513王奇. 以太网中ARP欺骗原理与解决方法. 网络技术安全与应用，200714范淑霞，刘吉强. 基于ARP协议的内网访问控制系统研究. 计算机与信息技术，2007.115刘莹. 监听技术在网络管理上的应用. 西安交通大学硕士学位论文,1999.616双木. 网络管理之ARP协议篇. 北京：中国电脑教育报，2003.6.517李欣，侯松霞. 内网安全防御系统的研究. 计算机英语，2007.618Christian BeIlvenutiUnderstanding Linux Network IntervalsJAddisonWesley，2006(5)19ViVek Ramachandr

21、an.Detecting ARP spoofing：An Active TechniqueM.International Conference on information Systems Security，200520Admiralty Way. Transmission contron Protocolm.RFC 793，1981(9)21Jahwan Koo，Evaluation of Network Blocking Algorithm Based on ARP spoofing and Its ApplicationInternational Conference on Comput

22、ational Scinece and itsApplicationsSingapore(SG)，200522Sanjeev.Impact of Distributed Denial of senrice(DDos)Attack Dueto ARP StormMInternational Conference on Network， 200523 Kinship.H.The ARP of LAN protocol attacks and solutions J. The Safety Science Journal,2007 (7)24Douglas. ARP protocol and its security risks J. Information Week(Natural Science), 2004 (2)25Peart.Inter-segment access to the remote host MAC address with the java implemen